AWS Client VPN

AWS Client VPN は、ノート PC やモバイル端末といった個々のリモート端末から、AWS のリソースやオンプレミスのネットワークへ安全に接続するためのマネージドな SSL VPN サービスです。OpenVPN ベースのクライアントを利用し、リモートワークや管理用アクセスの基盤として、サーバーの構築や運用を自社で行うことなく利用できます。

解決する課題

リモートの従業員や運用担当者が、VPC 内のプライベートなリソースやオンプレミスのシステムへ安全に到達したい場面は多くあります。従来はリモートアクセス用の VPN サーバーを自前で構築し、可用性やスケーリング、パッチ適用を自ら運用する必要がありました。利用者が増えると VPN サーバーの増強や冗長化が課題となり、運用負荷が高まります。

Client VPN は、このリモートアクセス VPN の機能をマネージドサービスとして提供します。VPN の終端となるエンドポイントを AWS が運用するため、サーバーの構築や保守、可用性の確保を意識せずに利用でき、接続するクライアント数に応じて自動的にスケールします。これにより、リモートワーク環境や緊急時の管理アクセス経路を、短時間で安全に整備できます。なお、これは個々の端末を接続するリモートアクセス VPN であり、拠点同士を結ぶサイト間 VPN とは目的が異なる点に注意します。

主要概念と用語

• クライアント VPN エンドポイント: VPN 接続を終端するマネージドなリソース。クライアントからの接続を受け付ける起点となり、認証方式や接続先のネットワークをここで設定する。
• ターゲットネットワーク（関連付け）: エンドポイントに関連付ける VPC 内のサブネット。関連付けによってエンドポイントが対象 VPC へ到達できるようになり、可用性のため複数アベイラビリティーゾーンのサブネットを関連付ける。
• クライアント CIDR: VPN 接続したクライアント端末に割り当てられる IP アドレスの範囲。VPC や接続先のネットワークと重複しない範囲を指定する。
• 認証: 接続してくる利用者や端末の正当性を確認する仕組み。相互証明書認証、Active Directory 認証、フェデレーテッド（SAML）認証などをサポートする。
• 認可ルール（Authorization Rule）: どの利用者やグループが、どのネットワーク範囲へ到達してよいかを定める許可規則。認証を通過した接続に対してアクセス範囲を絞り込む。
• スプリットトンネルとフルトンネル: クライアントの全通信をエンドポイント経由にするか（フルトンネル）、特定の宛先のみをトンネル経由にして残りはローカルのインターネットへ流すか（スプリットトンネル）の方式。
• クライアント設定ファイル: OpenVPN クライアントに読み込ませる接続プロファイル。エンドポイントの情報や証明書設定を含む。
• 接続ログ: 各クライアントの接続や切断のイベント記録。CloudWatch Logs へ出力できる。

仕様・制限・クォータ

Client VPN は OpenVPN プロトコルをベースとしており、対応する OpenVPN クライアントや AWS が提供する専用クライアントから接続します。1 つのエンドポイントには複数のターゲットネットワークを関連付けでき、関連付けたアベイラビリティーゾーンの数に応じて可用性が高まります。

エンドポイントあたりの同時接続数、アカウントあたりのエンドポイント数、認可ルールやルートの数などにはそれぞれ上限が定められています。クライアント CIDR は十分な広さを確保する必要があり、後から狭めることはできないため、想定する最大同時接続数を見込んで設計します。具体的な数値はリージョンや時期で変わり得るため、設計時には最新の公式ドキュメントとアカウントごとのクォータを確認してください。多くの上限はサービスクォータから引き上げ申請が可能です。

内部の仕組み

クライアント VPN エンドポイントは AWS が運用する終端ポイントで、リモート端末はここへ TLS で暗号化されたトンネルを張ります。接続時にはエンドポイントに設定された認証方式で利用者または端末を検証し、認証を通過するとクライアント CIDR からアドレスが割り当てられます。

エンドポイントは関連付けたサブネットを通じて VPC のネットワークに組み込まれ、そのサブネットを起点としてルートテーブルと認可ルールに従ってトラフィックを転送します。VPC 内のリソースへの到達はもちろん、VPC ピアリングや Transit Gateway、Direct Connect やサイト間 VPN を経由して、他の VPC やオンプレミスのネットワークへ到達させることもできます。これらの先へ到達させるには、エンドポイントのルートを追加し、対応する認可ルールで許可することが必要です。

認証は接続の確立時点で行われ、認可ルールは確立後のトラフィックがどの宛先へ向かってよいかを制御します。つまり認証と認可は別の層であり、認証に成功しても認可ルールで許可されていない範囲へは到達できません。フルトンネル構成ではクライアントの全通信がエンドポイント経由となり、スプリットトンネル構成ではトンネルへ流す宛先をルートで限定して、それ以外をローカル経由にできます。

設計パターン / ベストプラクティス

可用性を高めるには、エンドポイントに複数のアベイラビリティーゾーンのサブネットを関連付けます。これにより特定の AZ に障害が生じても他の AZ 経由で接続を維持できます。

アクセス制御は認可ルールで最小権限に絞り込むのが基本です。認証で利用者やグループを識別し、グループごとに到達できるネットワーク範囲を限定することで、職務に応じたアクセス分離を実現できます。Active Directory やフェデレーテッド認証を用いると、既存の ID 基盤やグループ情報を活かしてルールを構成できます。

通信量とセキュリティのバランスを取る観点では、業務で必要な宛先のみをトンネルに流すスプリットトンネルが選ばれることが多い一方、全通信を検査・記録したい要件ではフルトンネルが適します。インターネット向け通信をトンネル経由にする場合は、VPC 側に NAT などの出口経路を用意します。

運用・監視

接続ログを CloudWatch Logs へ出力し、誰がいつ接続・切断したかを記録すると、監査やトラブルシューティングに役立ちます。現在の接続状況はエンドポイントの接続一覧で確認でき、不審な接続を個別に切断することもできます。

証明書認証を用いる場合は、証明書の有効期限管理と失効への対応が運用上の重要事項です。退職者や紛失端末のアクセスを速やかに無効化できるよう、失効の手順をあらかじめ整備しておきます。フェデレーテッド認証では ID プロバイダー側でアクセスを停止できるため、ID 基盤と連携した一元管理が運用を簡素にします。クライアント設定ファイルの配布と更新の手順も標準化しておくとよいでしょう。

コスト

Client VPN の費用は主に、エンドポイントにターゲットネットワークを関連付けている時間に対する関連付け料金と、クライアントが接続している時間に対する接続料金で構成されます。関連付け料金は関連付けているサブネットの数や時間に応じて発生し、接続料金は同時接続数と接続時間に応じて発生します。

したがって、利用していない時間帯にも関連付けが残っていれば関連付け料金は発生し続けます。一方で接続料金は実際に接続している分のみとなるため、断続的な利用ではコストを抑えやすい特性があります。複数 AZ への関連付けは可用性を高めますが、関連付ける数に応じて料金も増える点を踏まえて設計します。具体的な金額は変動するため、最新の料金ページで確認してください。

セキュリティ

接続は TLS によって暗号化され、認証と認可の二段構えでアクセスを制御します。認証方式は要件に応じて選択し、大規模な組織では既存の ID 基盤と連携できる Active Directory 認証やフェデレーテッド認証が管理しやすい選択肢になります。証明書認証は ID 基盤に依存せず構成できますが、証明書のライフサイクル管理を確実に行う必要があります。

認可ルールは最小権限の原則で設計し、必要なネットワーク範囲のみを許可します。VPC 側ではセキュリティグループやネットワーク ACL を併用し、エンドポイントに割り当てるセキュリティグループによって到達先をさらに制御できます。接続ログを有効化しておくことで、アクセスの可視性とインシデント時の追跡性が確保されます。

Well-Architected の観点

セキュリティの観点が中心となります。認証で利用者や端末を確実に識別し、認可ルールで到達範囲を最小限に絞り、接続ログで可視性を確保することが要です。暗号化された通信路と、ID 基盤に連携した一元的なアクセス管理が、安全なリモートアクセスを支えます。

信頼性の観点では、複数 AZ のサブネットを関連付けて単一 AZ への依存を避けます。運用上の優秀性の観点では、クライアント設定や証明書の配布・失効の手順を標準化します。コスト最適化の観点では、関連付けの数と稼働時間、同時接続の傾向を踏まえて、必要な範囲で関連付けを保持します。

試験で問われるポイント

関連サービス・比較

同じ VPN という名前でも、Client VPN とサイト間 VPN（AWS Site-to-Site VPN）は目的が異なります。Client VPN は個々のリモート端末を接続するためのものであり、サイト間 VPN はオフィスやデータセンターといった拠点ネットワーク全体を AWS と接続するためのものです。リモートワーカーの端末接続には Client VPN、拠点の常時接続にはサイト間 VPN を選ぶのが基本です。

ハンズオン / CLI例

以下は AWS CLI で Client VPN エンドポイントを確認し、ターゲットネットワークの関連付けや認可ルールを操作する例です。実際の構築では事前に証明書やディレクトリなどの認証情報を準備します。

# クライアント VPN エンドポイントの一覧と状態を確認する
aws ec2 describe-client-vpn-endpoints

# エンドポイントにターゲットネットワーク（サブネット）を関連付ける
aws ec2 associate-client-vpn-target-network \
  --client-vpn-endpoint-id cvpn-endpoint-xxxxxxxx \
  --subnet-id subnet-xxxxxxxx

# 指定したネットワーク範囲への到達を許可する認可ルールを追加する
aws ec2 authorize-client-vpn-ingress \
  --client-vpn-endpoint-id cvpn-endpoint-xxxxxxxx \
  --target-network-cidr 10.0.0.0/16 \
  --authorize-all-groups

# 現在の接続状況を確認する
aws ec2 describe-client-vpn-connections \
  --client-vpn-endpoint-id cvpn-endpoint-xxxxxxxx